Ca și dezvoltatori ai Comunității DPO din România ne propunem să venim în ajutorul tuturor celor care doresc să respecte și să aplice corect Regulamentul General privind Protecția Datelor cu caracter personal prin abordarea de subiecte importante unde vom oferi îndrumări, documente și sfaturi.

Primul dintre aceste subiect este cel al Responsabilului cu Protecția Datelor, numit și DPO. În acest sens ne-am propus să dezbatem principalele puncte de interes care privesc funcția de DPO, precum și particularitățile pe care le-am întâlnit în România în activitatea noastră ca și DPO externalizat atât pentru instituții publice cât și pentru companii private:

Ce înseamnă DPO? Ce este un responsabil cu protecţia datelor?

Funcția de responsabil cu protecția datelor sau DPO a fost introdusă de GDPR și este una dintre noutățile regulamentului față de fosta directivă privind protecția datelor.

În România ”DPO” s-a tradus și împământenit ca și ”responsabil cu protecția datelor”. Din punctul nostru de vedere este o traducere inexactă. Cuvântul „responsabil” duce cu gândul la persoana care este însărcinată cu implementarea regulamentului, pe când această responsabilitate este a operatorului, respectiv a managementului. Operatorul de date cu caracter personal poate să decidă ca și DPO-ul să aibă un rol și să fie implicat în implementarea Regulamentului General privind Protecția Datelor cu caracter personal. Conform GDPR, DPO-ul este cel care veghează la respectarea protecției datelor cu caracter personal și propune măsuri în vederea alinierii.

Despre protecția datelor cu caracter personal în România poți citi în articolul GDPR România – despre protecția datelor cu caracter personal.

Ce responsabilități și atribuții principale are un DPO, conform GDPR?

În România, din păcate, pozitia responsabilului cu protecția datelor nu este una foarte clară. Pe de o parte primește responsabilități și sarcini din partea managementului operatorilor și pe de altă parte are responsabilități specifice și se bucură de independență prevazută de GDPR. Regulamentul European prevede următoarele sarcini:

  1. facilitează implementarea politicilor și procedurilor interne în domeniul protecției datelor, precum și instruirea angajaților cu privire la responsabilitățile ce le revin;

  2. consilierea personalului și a echipei manageriale în gestionarea incidentelor de securitate a datelor cu caracter personal (ex. abordarea riscurilor de securitate digitală).

    Află care sunt cele mai bune practici în materie de securitate cibernetică recomandate de ENISA, CERT-EU & GDPR Complet

  3. monitorizarea permanentă a proceselor de prelucrare a datelor desfășurate de operator, identificarea zonelor de îmbunătățire și oferirea de suport în implementarea modificărilor necesare pentru a asigura respectarea celor mai înalte standarde de bune practici în domeniul protecției datelor.

  4. analiza solicitărilor venite din partea persoanelor vizate în temeiul RGPD (dreptul de acces, dreptul de a fi uitat, dreptul la rectificarea datelor etc.) și suport în formularea de răspuns.

    Când și în baza cărui temei legal dăm curs unei cereri de acces la date spre exemplu? Dar la o cerere de ștergere? Îi putem da curs în orice condiții? Află din articolul: GDPR – drepturile persoanei vizate. Când răspundem și când nu?

  5. instruirea personalului și a echipei manageriale privind noutățile legislative și bunele practici în domeniul protecției datelor, potrivit specificului activității Operatorului.

  6. elaborarea de puncte vedere pe probleme specifice protecției datelor cu caracter personal

  7. cooperarea cu autoritatea de control – „Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Cine e obligat să desemneze un DPO?

Primul pas pe care un operator trebuie să îl facă este să verifice dacă se află într-o situație care îi impune desemnarea și notificarea unui responsabil cu protecția datelor. Din acest punct de vedere Regulamentul General prevede trei situații în care este obligatorie desemnarea unui DPO:

  • reprezentați o autoritate sau un organism public, cu excepția instanțelor care acționează în exerciţiul funcţiei lor jurisdicţionale;
  • sunteți o companie care desfășoară ca activități principale operațiuni de prelucrare, care, prin natura lor, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă ;
  • sunteți o companie care desfășoară activități principale care constau în prelucrarea pe scară largă a unor categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice) sau a unor date cu caracter personal privind condamnări penale și infracțiuni;

DPO recomandare ANSPDCP

Vezi care sunt cele mai frecvente greșeli făcute în implementarea GDPR.

Decizia de desemnare a responsabilului cu protecția datelor (DPO)

În cazul autorităților publice, numirea în funcţiile publice pentru care se organizează concurs în condiţiile Legii nr. 188/1999, art. 58 alin. (1) lit. c) (organizat de către autorităţi şi instituţii publice, cu avizul Agenţiei Naţionale a Funcţionarilor Publici, pentru ocuparea funcţiilor publice de execuţie generale şi specifice) se face prin actul administrativ (decizie) emis de conducătorii autorităţilor şi instituţiilor publice din administraţia publică centrală şi locală care au organizat concursul. Conform art. 62 alin. (4-7) din Legea nr. 188/1999, actul administrativ de numire (decizia) are formă scrisă şi trebuie să conţină temeiul legal al numirii, numele funcţionarului public, denumirea funcţiei publice, data de la care urmează să exercite funcţia publică, drepturile salariale, precum şi locul de desfăşurare a activităţii.

În cazul companiilor private, recomandarea este să existe cel puțin avizul directorului adjunct sau, optim, al directorului general privind adoptarea deciziei de angajare pe postul de DPO, deoarece aceasta semnifică conștientizarea managementului companiei asupra importanței și rolului DPO în cadrul companiei.

Dacă faci parte din echipa managerială, îți recomandăm să parcurgi articolul în care am detaliat aspectele manageriale în implementarea GDPR România.

Decizia de desemnare DPO trebuie să conțină un număr de înregistrare, datele de identificare ale persoanei juridice, temeiul legal pentru desemnarea responsabilului, numele persoanei desemnate.

Aceasta se redactează în 2 exemplare.

Mai jos aveți un exemplu de Decizie desemnare DPO în format editabil.

Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO. Pentru a descărca un model de ”Decizia de desemnare a DPO-ului” este nevoie să vă înscrieți aici GRATUIT în Comunitatea DPO.

Model Decizie desemnare DPO ‎

Notificarea responsabilului cu protecția datelor la ANSPDCP

După desemnarea unui responsabil cu protecția datelor, operatorul are obligația de a notifica ANSPDCP cu privire la acest aspect. Recomandarea noastră este ca datele de contact are DPO-ului să fie unele generice și special atribuite acestei funcții, de ex: dpo@operator.ro. Astfel, în eventualitatea schimbării persoanei desemnate, să nu mai fie necesară modificarea acestora pe site, în documentele companiei / instituției, etc.

Notificarea responsabilului cu protecția datelor se face pe site-ul Autorității, prin completarea formularului declarare responsabil cu protecția datelor .

Pentru a avea dovada notificării, vă rugăm sa faceți o captură de ecran (printscreen) a mesajului de confirmare.

În cazul în care doriți să schimbați persoana notificată, acest lucru se face prin suprascrierea notificării. Astfel veți completa din nou acel formular cu datele noi apărute.

Modalități de desemnare a responsabilului cu protecția datelor în România:

  • DPO-ul se poate numi fie intern (o persoana deja angajată a operatorului sau o persoană nou angajată) fie extern (angajarea unei persoane special pentru această funcție). Externalizarea funcției de responsabil cu protecția datelor poate fi făcută și către o firmă care oferă servicii de DPO externalizat. Acest demers se face printr-un contract de prestări servicii.
  • Dacă se numește un DPO intern atunci, în general acest lucru se face prin desemnarea unei persoane prin cumul de funcții. Această numire se face prin modificarea fișei postului prin adăugarea de atribuții și responsabilități specifice.
  • Chiar dacă un operator nu se află în situația de a fi obligat să numească un responsabil cu protecția datelor, regulamentul trebuie respectat. În acest caz se poate desemna intern o persoană, fără a notifica ANSPDCP, care să aibă atribuții în implementarea prevederilor regulamentului GDPR.

Ai nevoie de DPO extern?
Lasă provocările GDPR în seama GDPR Complet – echipă de profesioniști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor

  • Exercităm funcția de DPO

  • Audităm și Implementăm

  • Instruim personalul

  • Comunicăm cu autoritatea

CERE O OFERTĂ pentru serviciile DPO externalizat

Conflictele de interese în desemnarea unui DPO (responsabil cu protecția datelor)

Atunci când numim un DPO sau Responsabil cu protecția datelor, în primul rând trebuie să avem în vedere conflictul de interese. Dacă responsabilul cu protecția datelor îndeplinește și altă funcție, aceasta din urmă nu trebuie să fie una de conducere.  Potrivit art. 38, alin. (3) RGPD, Operatorul se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini.

Nici un șef de serviciu, compartiment sau membru al echipei manageriale nu poate, în temeiul vreunui regulament intern de organizare și funcționare să dea dispoziții DPO în ceea ce privește exercitarea atribuțiilor sale.

Astfel ar putea apărea situația în care, în calitate de DPO, persoana în cauză ar trebui să analizeze o situație apărută în urma unei decizii luate de aceeași persoană, dar în exercitarea funcției de conducere.

Mai jos vom exemplifica câteva situații în care apare conflictul de interese în numirea unui DPO:

  1. Administrator sau director general: apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți).
  2. Director financiar: acesta ar putea influenta decizia de a aproba finanțarea unor sau a tuturor măsurilor specifice și necesare pentru conformarea cu cerințele stabilite de legislația privind protecția datelor.
  3. Director sau șef birou resurse umane: poate să influențeze mecanismele de prelucrare a datelor angajaților, foștilor angajați, sau a potențialilor angajați.
  4. Directorul de marketing: poate să influențeze mecanismele de prelucrare a datelor clienților în activitatea de marketing.

Unul din cazurile ilustrative pentru subiectul discutat, este acela al amenzii aplicate de Autoritatea de Protecție a Datelor din Belgia, la data de 28 aprilie 2020, unei companii pe nume Proximus, pentru faptul că Responsabilul cu Protecția Datelor numit se afla în conflict de interese (încălcând prevederile art. 38 alin. (6) din GDPR).

Despre ce este vorba? Ei bine, se pare că operatorul nu a implementat un sistem prin care să prevină conflictul de interese pentru DPO, iar în consecință, a fost numită în funcție o persoană care era deja Directorul Departamentului de Audit Intern, Risc Management și Departamentul de Conformare. În acest sens, Autoritatea, în urma evaluării a concluzionat că angajatul nu putea să își exercite funcția în mod imparțial, independent. Totodată, în decizia de sancționare, Autoritatea a argumentat că DPO-ul nu a fost implicat suficient în discuțiile referitoare la breșele de securitate.

Din analiza problematicii se pare că argumentul operatorului ar fi fost că numirea DPO-ului în această poziție este legală întrucât nu este în nici una din funcții factor de decizie. Cu toate acestea, Autoritatea nu a fost de acord cu acest argument, spunând că fiind implicat Managerul departamentului de auditare, evaluare a riscurilor și conformare, este factorul final de responsabilitate în ceea ce privește activitățile de evaluare a riscurilor în domeniul protecției datelor cu caracter personal. De aici reiese astfel incompatibilitatea.

Prin această numire, Autoritatea a concluzionat de asemenea că operatorul a dat dovadă de un nivel ridicat de neglijență în numirea DPO-ului!

Cuantumul amenzii aplicate este de 50.000 euro.

În România, numărul amenzilor aplicate pentru neconformarea la GDPR este în creștere. Vezi lista actualizată la zi cu amenzile GDPR aplicate în România.

Fișa postului pentru DPO

După ce ați identificat necesitatea numirii unui DPO, ați făcut numirea printr-o decizie și ați notificat Autoritatea, urmează să întocmiți fișa postului.

Dacă ați numit o persoană care are și alte atribuții, atunci este necesară o actualizarea a fișei postului. În cazul în care persoana desemnată îndeplinește doar funcția de DPO, fișa postului este de sine stătătoare.

Articolul 39 alin. (1), lit. a-e) RGPD prevede explicit un minim al sarcinilor responsabilului cu protecția datelor, însă cu caracter principial și sintetic.

În întocmirea fișei de post veți avea în vedere următoarele aspecte:

  1. Responsabilul cu protecția datelor răspunde față de management, conducere
  2. Atribuțiile DPO: Informarea şi consilierea, monitorizarea respectării prevederilor Regulamentului, furnizarea de consiliere la cerere, cooperarea cu autoritatea de supraveghere, asumarea rolului de punct de contact pentru autoritatea de supraveghere etc.
  3. Responsabilitățile DPO: păstrează secretul sau confidențialitatea,
  4. DPO este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal
  5. DPO răspunde de îmbunătățirea permanentă a pregătirii sale profesionale
  6. DPO folosește timpul de muncă exclusiv pentru îndeplinirea sarcinilor de serviciu

Mai jos aveți un exemplu de Fișă de post a responsabilului cu protecția datelor în format editabil. Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO.

Pentru a descărca un model de ”Fișă de post a responsabilului cu protecția datelor” este nevoie să vă înscrieți aici GRATUIT în Comunitatea DPO.

Model Fișă de post DPO – responsabil cu protecția datelor.

Concluzii despre funcția DPO

Funcția DPO este o funcție complexă. Prin simpla numire a unui DPO în instituția pe care o administrezi sau în compania pe care o deții, nu devii conform cu GDPR.  Responsabilul cu Protecția Datelor trebuie să manifeste preocupare constantă pentru îndeplinirea atribuțiilor ce îi revin cu privire la protejarea datelor cu caracter personal ale angajaților, clienților, colaboratorilor, etc. DPO nu este singurul responsabil de toate prelucrările de date și tot ce se întâmplă cu datele personale. El are nevoie de o echipă care să includă specialiști din toate departamentele.

Se întâmplă uneori să te afli în situația în care poate nu ai cunoștințele sau resursele necesare să te ocupi de toate cele menționate mai sus, sau poate dorești să fii ajutat. Noi, echipa GDPR Complet îți oferim consultanță GDPR sau putem chiar să preluăm acest rol pentru tine, prin intermeniul serviciului DPO externalizat. Astfel vom pune la dispoziția operatorului o echipă de profesioniști cu expertiză juridică, IT, managerială care să răspundă tuturor cerințelor GDPR pentru compania sau instituția din care provii.

Află mai multe despre serviciul nostru de DPO externalizat!

Pentru mai multe detalii te rugăm să ne contactezi la: contact@gdprcomplet.ro.